В отчете о распространенных угрозах в мае компания «Доктор Веб» отмечает новую вспышку блокировщиков Windows (Trojan.Winlock, Trojan.AdultBan), значительную долю которых составили модификации, не требующие отправлять SMS-сообщения. Были замечены новые виды шифровальщиков пользовательских документов (Trojan.Encoder) и новые буткиты. Зато лжеантивирусы (Trojan.Fakealert) стали занимать менее значительное место в статистике.

Начиная с 14 мая сервер статистики «Доктор Веб» стал фиксировать превышение среднего ежесуточного количества детектов блокировщиков Windows. В первые дни оно превышало ежесуточную норму за последние месяцы в несколько раз, а уже 18 мая было зафиксировано 215 тыс. детектов (Trojan.Winlock и Trojan.AdultBan) при норме 1500 в сутки.

С 7 мая появились блокировщики, которые вместо отправки платного SMS-сообщения требовали перевести деньги с помощью платежных терминалов. В течение месяца злоумышленники опробовали множество электронных денежных систем, среди которых присутствовали популярные WebMoney, RBKMoney, "Единый кошелёк" (Wallet One). Эти блокировщики, как и классические модификации, определяются антивирусами Dr.Web как Trojan.Winlock. К концу месяца чаще всего предлагалось перевести деньги на счёт мобильного телефона, зарегистрированного у одного из российских сотовых операторов. В сообщениях новых видов Trojan.Winlock говорится о том, что код разблокировки будет находиться на чеке, который выдаёт терминал после перечисления необходимой суммы. Запрашиваемые суммы колеблются в диапазоне от 250 до 500 руб.

Разработчики «Доктор Веб» также обнаружили новые буткиты (тип руткита, который прописывается в загрузочной области диска и стартует до запуска системы) Trojan.Alipop и Trojan.Hashish. Первый ориентирован на китайских пользователей и служит для искусственной накрутки счётчика посещений некоторых сайтов. Второй бут-вирус предназначен для запуска любых "полезных" для злоумышленников модулей, которые он приносит в систему вместе с собой.

Появилось несколько новых модификаций шифровальщиков пользовательских файлов Trojan.Encoder. Кроме того, стало известно о распространении конструкторов таких вредоносных программ. Также были замечены новые модификации Trojan.Encoder, которые ставят своей целью дискредитацию компании «Доктор Веб».